《魏书》中用“一箭易折,十箭难断”警示大家要团结一心,齐心协力,国家就可以稳固。社会发展到今天,合作已经成为主流的文化。在强大利益驱动下,潜伏在网络下面的黑客充分利用多种合作模式,不论是在单个APT攻击中的攻击工具组合,还是黑客组织之间的合作都达到至高的境界,网络攻击也从随机撒网式的攻击行为发展到以APT高级持续性威胁(Advanced Persistent Threat)攻击为代表的链式组合攻击行为,给安全带来巨大的挑战。
以其人之道还其人之身,在这场攻与防的斗争,华为构建了“一个中心,三个基本点”的APT立体协作防御体系,悄然扛起了抗击APT攻击的大旗。
中心:CIS(Cybersecurity Intelligent System)大数据安全分析为基础
任何协同合作,众多的合作方只有与核心方紧密配合,才能达成最后的目标。在华为构筑的APT立体防御体系中,CIS大数据安全分析当之无愧的称为核心节点。
CIS大数据平台中,通过在企业不同位置部署探针,如在互联网出口、分支互联链路、关键服务器区等,采集实时流量的元数据信息,元数据包含应用层会话的关键信息、各种协议头部内容,如HTTP头数据,元数据虽然不包括流量载荷的内容,但是不丢失系统信息,而且便于管理。CIS大数据平台同时存储大量的历史流量元数据信息,从而有效的利用大数据平台在空间和时间维度的扩容能力,在海量的信息的基础上,充分利用机器学习的能力,提炼出各种攻击异常的模型,实现对实时流量的高速检测,于细微处发现异常,由点连线,由线连面,找到真正的攻击行为,最后完整的画出APT攻击的整个轮廓。CIS通过对APT攻击的有效分析和判断,进而快速的将攻击威胁信息同时上传到云端安全智能中心,以及下传到部署在企业各地的安全设备中,从而为有效拦截APT攻击确定了基石。
CIS作为整个APT 防御的核心,可以快速、准确的对APT攻击进行检测与判断。
基本点一:云端安全智能中心,网聚全球安全力量
在合作的组织中,大家只有通过共享信息,各方步骤才能协调一致,行动才更有效率。同样在这场防御挑战全球安全的APT攻击中,通过分享并利用全球安全厂商的力量,可以更有效的实现对APT攻击的抗衡。
在华为的APT防御体系中,华为提供基于云端的安全智能系统,该体系一方面通过CIS的检测可以分享华为在APT检测上的成果,同时华为的云端安全智能系统也会吸收全球优秀厂商关于APT的检测信息,为CIS大数据平台提供更有效的信息,从而更快速有效准确的判断APT攻击。在华为云端的安全智能系统中,传统的安全签名和信誉数据只是其中很基础的一部分,例如IP/MD5/DNS等信誉体系,在应对APT攻击中的作用有限,而更有效的威胁信息,是包括APT攻击的思路、策略、模式等具有完全针对性的信息,安全智能系统和情境感知、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。
基本点二:安全沙箱,搜索APT攻击中的“隐形杀手”
在APT攻击中,那些恶意软件使用各种高级逃逸技术或者利用0day漏洞,来逃脱安全设备的检测,当之无愧的可以称之为APT攻击中的隐形杀手。
在华为APT的防御系统中,沙箱是一个非常重要的角色。各种隐藏在常见的如word、excel、PDF等办公软件中的恶意软件,要想进入企业,第一关便是要经过沙箱的检测,华为沙箱采用多重的检测技术,包括静态分析、动态执行、行为匹配等,从而可以快速有效的识别各种高级恶意软件。面对通过Web流量中传播的各种0day恶意软件众多厂商束手无策,华为是全球仅有的两个可以完整检测的厂家之一,有效的防止漏网之鱼,构筑了APT防御的第一道防线。
基本点三:基于情境感知下一代安全,精确的实现多点清除
在大数据平台和沙箱发现APT攻击行为并形成该APT攻击的各种威胁信息后,会将信息下发给部署在企业网络的安全设备中,由这些设备根据威胁信息完成对APT攻击点的彻底防御和清除。华为基于情境感知的下一代安全设备,包括NGIPS、NGFW、VNGFW以及各种终端安全设备,从而快速有效的实现对APT各个攻击点的清除。
华为APT防御系统,为企业构筑的是APT破坏还没开始,威胁就已经清除的坚实防线。